第7章 网络身份认证
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
围绕证书的签发与管理而构建的技术和法律 框架结构称为公钥基础设施(PKI)。
19
7.1.2 公钥证书
4类典型的公开密钥分配方案: (1)公钥的公开宣布; (2)公开可以得到的目录; (3)公开密钥管理机构; (4)公开密钥证书。
7.1.2.1 公开密钥的公开宣布
公开密钥的公开宣布方法最简单,只需将公 开密钥附加在发送给公开论坛的报告中,这 些论坛包括USENET新闻组和Internet邮件 组。这是一个不受任何控制的公开密钥分配 方案,但有一个致命的弱点:任何人都可以 伪造一个这样的公开告示。
份认证、数据完整性、不可否认性以及匿名 性等信息安全方面有着重要的应用。 ➢ 目前,主要使用公钥密码技术来解决数字签 名问题。 ➢ 另外,数字签名的应用不单单是技术问题, 还涉及法律问题。
16
7.1.1 身份证明系统
通常电子签名立法具有如下基本原则: ① 技术中立原则 ② 功能等同方法原则 ③ 当事人自治原则(合同自由原则) ④ 合理性原则
18
7.1.2 公钥证书
从表面来看,公钥密码算法没有密钥分配问 题,但在具体应用中,通常以证书的形式来 进行公钥的管理。通常意义上,证书其实是 一种数据结构,是由证书的使用者所信赖方 进行数字签名的电子信息。
公钥证书是一种将某方的身份(证书的主体) 与某个公开密钥值安全的连接在一起的数据 结构。
8
7.1.1 身份证明系统
身份认证的方法有很多种,有的与加密技术 有关,有的与加密技术无关。身份认证方法 通常基于以下几个因素:
➢ 密码 ➢ 物理上的密钥或卡 ➢ 指纹或视网膜 ➢ 展示在特定场所或网络地址上的证据 ➢ 可以验证申请人身份的其他可信任方
7.1.1 身份证明系统
身份认证方法与所表示的身份有关: ➢ 实体认证:
这个方案包括下列成分:
(1)管理机构为每个参与者维护一个目录项{ 名字,公开密钥}
认证技术主要包括三个方面:消息认证、用 户(实体)身份认证和数字签名:
13
7.1.1 身份证明系统
消息认证 ➢ 消息认证是一种过程,它使得通信的接收方
能够验证所收到的报文在传输的过程中是否 被假冒、伪造和篡改等,即保证信息的完整 性、真实性和有效性。 ➢ 消息认证的内容应包括: (1)信息的来源 (2)信息内容的完整性 (3)信息的发送时间和序列号
身份以参与通信会话的某个人、系统或应用 程序来代表 ➢ 数据源认证: 当事人的身份以某个信息来代表,表明信息 是由该当事人发出的。
7.1.1 身份证明系统
认证技术注意包括三个方面:消息认证、用 户(实体)身份认证和数字签名:
消息认证: 消息认证是一种过程,是信息的接收方对消
息的真伪进行判断的技术,它使得接收方能 够通过验证所收到的报文在传输过程中是否 被假冒、伪造和篡改等,来验证消息是否保 持其完整性、真实性和有效性。
7
7.1.1 身份证明系统
所谓“没有不透风的墙”,你所知道的信息 有可能被泄露或者还有其他人知道,别人就 可能冒充这个人的身份。而仅凭借一个人拥 有的物品判断也是不可靠的,这个物品有可 能丢失,也有可能被人盗取,从而伪造这个 人的身份。只有人的身体特征才是独一无二, 不可伪造的,然而这需要我们对这个特征具 有可靠的识别能力。
7.1.1 身份证明系统
用户(实体)身份认证: ➢ 用户(实体)身份认证机制提供了判明和确
认通信双方真实身份的方法,它是访问控制 的基础。 ➢ 实际上,网络中的通信除了需要对消息进行 认证外,还需要对网络的通信实体进行认证, 以防止欺骗、伪装等攻击。
15
7.1.1 身份证明系统
数字签名: ➢ 数字签名是由公钥密码发展而来的,它在身
11
一个纯认证系统的模型如下图所示:
攻击者
信源
认证编码器 认证译码器 信道
安全信道
密钥源
信宿
7.1.1 身份证明系统
在这个系统中,发送者通过一个公开信道将 消息传送给接收者,接收者需要验证消息是 否来自合法的发送者以及消息是否经过篡改。
一个实际的认证系统还要防止通信双方之间 的相互欺诈。
网络安全认证系统必须建立在密码学的基础 之上。
电子商务安全
第七章
网络身份认证
1
第7章 网络身份认证 7.1 概述 7.2 公钥基础设施 7.3 证书机构 7.4 个人数字证书的申请使用
2
7.1 概述
7.1.1 身份证明系统 7.1.2 公钥证书
3
7.1.1 身份证明系统 Who are you?
网络中,我如何能相信你
假冒:指非法 用户假冒合法 用户身份获取 敏感信息
17
7.1.1 身份证明系统
公开密钥加密系统对密钥管理的要求与对称 加密系统本质上是完全不同的。
在对称加密系统中,对彼此间进行通信的信 息进行保护的双方必须持有同一把密钥,该 密钥对他们之外的其他方是保密的。
而在公开密钥加密系统中,一方必须持有一 把对其他任何方都是保密的密钥(私人密 钥),同时,还要让想要与私人密钥的持有 者进行安全通信的其他方知道另一把相应的 密钥(公开密钥)。
截取:指非法 用户截获通信 网络的数据
篡改:指非法用 户改动所截获的 信息和数据
Βιβλιοθήκη Baidu
否认:通信的单方 或多方事后否认曾 经参与某次活动
7.1.1 身份证明系统
如何通过技术手段保证用户的物理身份与数字 身份相对应呢?验证一个人的身份主要通过三 种方式判定:一是根据你所知道的信息来证明 你的身份(你知道什么),假设某些信息只有 某个人知道,比如暗号等,通过询问这个信息 就可以确认这个人的身份;二是根据你所拥有 的东西来证明你的身份 (你有什么) ,假设 某一个东西只有某个人有,比如印章等,通过 出示这个东西也可以确认这个人的身份;三是 直接根据你独一无二的身体特征来证明你的身 份 (你是谁),比如指纹、面貌等。
7.1.2.1 公开密钥的公开宣布
不受控制的公开密钥分配
7.1.2.2 公开可以得到的目录
通过维持一个公开可以得到的公开密钥动态 目录就能够取得更大程度的安全性,对公开 目录的维护和分配必须由一个受信任的系统 和组织来负责。
7.1.2.2 公开可以得到的目录
公开密钥的出版
7.1.2.2 公开可以得到的目录
19
7.1.2 公钥证书
4类典型的公开密钥分配方案: (1)公钥的公开宣布; (2)公开可以得到的目录; (3)公开密钥管理机构; (4)公开密钥证书。
7.1.2.1 公开密钥的公开宣布
公开密钥的公开宣布方法最简单,只需将公 开密钥附加在发送给公开论坛的报告中,这 些论坛包括USENET新闻组和Internet邮件 组。这是一个不受任何控制的公开密钥分配 方案,但有一个致命的弱点:任何人都可以 伪造一个这样的公开告示。
份认证、数据完整性、不可否认性以及匿名 性等信息安全方面有着重要的应用。 ➢ 目前,主要使用公钥密码技术来解决数字签 名问题。 ➢ 另外,数字签名的应用不单单是技术问题, 还涉及法律问题。
16
7.1.1 身份证明系统
通常电子签名立法具有如下基本原则: ① 技术中立原则 ② 功能等同方法原则 ③ 当事人自治原则(合同自由原则) ④ 合理性原则
18
7.1.2 公钥证书
从表面来看,公钥密码算法没有密钥分配问 题,但在具体应用中,通常以证书的形式来 进行公钥的管理。通常意义上,证书其实是 一种数据结构,是由证书的使用者所信赖方 进行数字签名的电子信息。
公钥证书是一种将某方的身份(证书的主体) 与某个公开密钥值安全的连接在一起的数据 结构。
8
7.1.1 身份证明系统
身份认证的方法有很多种,有的与加密技术 有关,有的与加密技术无关。身份认证方法 通常基于以下几个因素:
➢ 密码 ➢ 物理上的密钥或卡 ➢ 指纹或视网膜 ➢ 展示在特定场所或网络地址上的证据 ➢ 可以验证申请人身份的其他可信任方
7.1.1 身份证明系统
身份认证方法与所表示的身份有关: ➢ 实体认证:
这个方案包括下列成分:
(1)管理机构为每个参与者维护一个目录项{ 名字,公开密钥}
认证技术主要包括三个方面:消息认证、用 户(实体)身份认证和数字签名:
13
7.1.1 身份证明系统
消息认证 ➢ 消息认证是一种过程,它使得通信的接收方
能够验证所收到的报文在传输的过程中是否 被假冒、伪造和篡改等,即保证信息的完整 性、真实性和有效性。 ➢ 消息认证的内容应包括: (1)信息的来源 (2)信息内容的完整性 (3)信息的发送时间和序列号
身份以参与通信会话的某个人、系统或应用 程序来代表 ➢ 数据源认证: 当事人的身份以某个信息来代表,表明信息 是由该当事人发出的。
7.1.1 身份证明系统
认证技术注意包括三个方面:消息认证、用 户(实体)身份认证和数字签名:
消息认证: 消息认证是一种过程,是信息的接收方对消
息的真伪进行判断的技术,它使得接收方能 够通过验证所收到的报文在传输过程中是否 被假冒、伪造和篡改等,来验证消息是否保 持其完整性、真实性和有效性。
7
7.1.1 身份证明系统
所谓“没有不透风的墙”,你所知道的信息 有可能被泄露或者还有其他人知道,别人就 可能冒充这个人的身份。而仅凭借一个人拥 有的物品判断也是不可靠的,这个物品有可 能丢失,也有可能被人盗取,从而伪造这个 人的身份。只有人的身体特征才是独一无二, 不可伪造的,然而这需要我们对这个特征具 有可靠的识别能力。
7.1.1 身份证明系统
用户(实体)身份认证: ➢ 用户(实体)身份认证机制提供了判明和确
认通信双方真实身份的方法,它是访问控制 的基础。 ➢ 实际上,网络中的通信除了需要对消息进行 认证外,还需要对网络的通信实体进行认证, 以防止欺骗、伪装等攻击。
15
7.1.1 身份证明系统
数字签名: ➢ 数字签名是由公钥密码发展而来的,它在身
11
一个纯认证系统的模型如下图所示:
攻击者
信源
认证编码器 认证译码器 信道
安全信道
密钥源
信宿
7.1.1 身份证明系统
在这个系统中,发送者通过一个公开信道将 消息传送给接收者,接收者需要验证消息是 否来自合法的发送者以及消息是否经过篡改。
一个实际的认证系统还要防止通信双方之间 的相互欺诈。
网络安全认证系统必须建立在密码学的基础 之上。
电子商务安全
第七章
网络身份认证
1
第7章 网络身份认证 7.1 概述 7.2 公钥基础设施 7.3 证书机构 7.4 个人数字证书的申请使用
2
7.1 概述
7.1.1 身份证明系统 7.1.2 公钥证书
3
7.1.1 身份证明系统 Who are you?
网络中,我如何能相信你
假冒:指非法 用户假冒合法 用户身份获取 敏感信息
17
7.1.1 身份证明系统
公开密钥加密系统对密钥管理的要求与对称 加密系统本质上是完全不同的。
在对称加密系统中,对彼此间进行通信的信 息进行保护的双方必须持有同一把密钥,该 密钥对他们之外的其他方是保密的。
而在公开密钥加密系统中,一方必须持有一 把对其他任何方都是保密的密钥(私人密 钥),同时,还要让想要与私人密钥的持有 者进行安全通信的其他方知道另一把相应的 密钥(公开密钥)。
截取:指非法 用户截获通信 网络的数据
篡改:指非法用 户改动所截获的 信息和数据
Βιβλιοθήκη Baidu
否认:通信的单方 或多方事后否认曾 经参与某次活动
7.1.1 身份证明系统
如何通过技术手段保证用户的物理身份与数字 身份相对应呢?验证一个人的身份主要通过三 种方式判定:一是根据你所知道的信息来证明 你的身份(你知道什么),假设某些信息只有 某个人知道,比如暗号等,通过询问这个信息 就可以确认这个人的身份;二是根据你所拥有 的东西来证明你的身份 (你有什么) ,假设 某一个东西只有某个人有,比如印章等,通过 出示这个东西也可以确认这个人的身份;三是 直接根据你独一无二的身体特征来证明你的身 份 (你是谁),比如指纹、面貌等。
7.1.2.1 公开密钥的公开宣布
不受控制的公开密钥分配
7.1.2.2 公开可以得到的目录
通过维持一个公开可以得到的公开密钥动态 目录就能够取得更大程度的安全性,对公开 目录的维护和分配必须由一个受信任的系统 和组织来负责。
7.1.2.2 公开可以得到的目录
公开密钥的出版
7.1.2.2 公开可以得到的目录